https://www.opennet.ru/openforum/vsluhforumID10/4538.html Привет товарищи!<br>Решил привести в порядок правила фаервола, сделать всё по полочкам. В итоге чего-то не раздаётся натом инет в локалку.<br><br>Интерфейсы:<br> nfe0 - сетевуха 10.0.84.5/24 gw - локалка провайдера, через неё подключаю инет pptp.<br> ng0 - внешний интерфейс, белый ИП.<br> rl0 - локалка которой хочу раздать инет.<br><br>natd работает. До этого момента у меня был настроен инет для локалки, но решил причесать все правила, чтобы всё лишнее запрещалось, а в предыдущем случае в конце правило было allow from any to any.<br><br>ipfw show<br>00050 834 27304 allow ip from me to 10.0.0.1 via nfe0 out<br>00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in<br><br>Разрешили установить VPN с провайдером<br>00100 0 0 check-state<br>00200 4 240 deny icmp from any to any in icmptypes 5,8,9,13,14,15,16,17<br>00300 11691 588087 deny tcp from any to me not dst-port 25,80,22222 in via ng0<br>00305 0 0 allow tcp from any to me dst-port 25,80,22222 in via ng0<br>00310 1 49 deny udp from any to m https://www.opennet.ru/openforum/vsluhforumID10/4538.html#2 Sun, 14 Mar 2010 21:52:06 GMT &gt;Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь <br>&gt;с правилами фаервола. Так сказать, на свежую голову :)<br><br>Спать лягу уже сейчас :) <br>&gt;Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, <br>&gt;firewall type SIMPLE.<br><br> Все мои на самом деле комменты в описании правил были как-бы сдвинуты вниз, т.е. под набором правил я описывал что этим правилом делал. Вы вроде как я понял восприняли что я описываю комментариями следующие за ними правила :) Виноват я в не совсем правильной подаче информации :)<br><br>Завтра и впрямь посмотрю простой конфиг фаервола, может и впрямь не надо ничего городить своего :)<br> https://www.opennet.ru/openforum/vsluhforumID10/4538.html#1 Sun, 14 Mar 2010 20:03:23 GMT &gt;[оверквотинг удален]<br>&gt;natd работает. До этого момента у меня был настроен инет для локалки, <br>&gt;но решил причесать все правила, чтобы всё лишнее запрещалось, а в <br>&gt;предыдущем случае в конце правило было allow from any to any. <br>&gt;<br>&gt;<br>&gt;ipfw show <br>&gt;00050 834 27304 allow ip from me to <br>&gt;10.0.0.1 via nfe0 out <br>&gt;00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in <br>&gt;<br><br>Это реально все правила, которые применяются на фаерволе? Если да, то они очень и очень странны. Не понятно, откуда они берутся.<br>&gt;[оверквотинг удален]<br>&gt;via wlan0 <br>&gt;00355 0 <br>&gt;0 allow udp from any to me dst-port 53,123,31194 in via <br>&gt;wlan0 <br>&gt;00360 0 <br>&gt;0 deny tcp from any to me not dst-port 53,80,22222 in <br>&gt;via tun0 <br>&gt;00370 0 <br>&gt;0 deny udp from any to me not dst-port 123 in <br>&gt;via tun0 <br><br>Сначала Вы запрещаете трафик по основным портам, затем разрешаете - правила ipfw применяются в порядке следования. Посмотрите внимательно man ipfw<br><br>&gt;<br>&gt;Дал доступ ко мне только к разрешённым ресурсам. <br>&gt;0